Rôle et moyens du délégué à la protection des données : bilan des contrôles de la CNIL
Dans le cadre d’une action coordonnée par le Comité européen de la protection des données (CEPD), la CNIL a mené en 2023 des contrôles auprès d’organismes publics et privés pour vérifier le rôle et les moyens confiés à leur délégué. Elle en dresse un bilan globalement positif mais a relevé certains manquements.
Pour cette deuxième édition de l’action coordonnée au niveau européen (coordinated enforcement framework) du Comité européen de la protection des données, les autorités de protection des données de l’Union européenne ont mené une évaluation à grande échelle des moyens accordés aux délégués à la protection des données (DPD ou DPO) par les structures qui en ont désigné. Le CEPD a publié son rapport et ses préconisations.
Un bilan globalement positif mais une disparité de moyens
Dans ce contexte, la CNIL a adressé des questionnaires à 14 organismes publics (hôpital, université, rectorat, commune ou intercommunalité, centre de gestion) et privés (travaillant dans le secteur du luxe ou des transports) et a également mené plusieurs contrôles sur place.
Cinq ans après l’entrée en application du RGPD, il ressort de cette campagne de contrôles que les organismes ont bien pris en compte les obligations liées aux missions du délégué. Ce dernier dispose généralement de moyens suffisants à l’accomplissement de ses missions et est, le plus souvent, associé aux décisions en lien avec les données personnelles.
Toutefois, les réponses apportées soulignent l’importante disparité de moyens entre DPO de grandes entreprises et ceux des petites collectivités : le délégué « public » exerce souvent ses fonctions seul tandis que le délégué « privé » dispose généralement d’une équipe.
Des manquements sanctionnés
Dans le cadre de cette action coordonnée et à la suite de ses contrôles, a CNIL a adopté des mesures correctrices (mise en demeure ou rappel aux obligations légales) à l’encontre de quelques organismes, en raison notamment de l’existence de conflits d’intérêts entre les missions du délégué et d’autres tâches qui lui sont affectées ou de l’absence d’association du délégué aux problématiques liées à la protection des données.
En dehors du cadre de l’action coordonnée européenne, la CNIL a sanctionné un organisme du secteur social d’une amende de 10 000 euros pour des manquements à l’article 38 du RGPD. Le délégué n’était en effet pas en mesure d’exercer correctement ses missions, notamment car il n’était pas assez associé aux questions relatives à la protection des données personnelles et ses fonctions manquaient de visibilité pour les employés de l’organisme.
